用心体会 图片式木马病毒防御之法

C?:Q f(iJ)A
kB0
,X9d1c-yh;dpE#X,U0   “有网络的地方，就有图片”，当用户在浏览网页有图片。聊天会收到图片，收发邮件、办公……在电脑和网络中图片是无处不在的。正因如此，一些病毒、木马就盯上了图片。打开某张图片，也许就会遭受木马的攻击。IXPUB技术博客 m+ZmiURq

一、图片木马揭秘

1^q*Q7{w/Q l!oO*L0    一般来说，图片木马有两种形式：一种是木马程序通过修改图标，伪装成图片文件；另一种图片木马是利用系统或者软件的漏洞，对真正的图片动了手脚，使用户打开图片就会受到木马的攻击。此外，“会动的图片”—Flash动画，无需利用系统漏洞，而是利用动画本身的特性，直接对用户进行攻击。

1、伪装型图片木马

OF'f Rf0    现在的木马都有极强的伪装功能，可以将自己伪装成图片、文本文件等，稍不注意，就会误将木马当成图片。这种木马通常是通过修改文件图标和文件后缀名实现的，可以看到木马与真正的图片非常接近。如果在资源管理器中，将文件后缀名隐藏后，迷惑性就更大了。

2、漏洞型图片木马

5^F8d,jZMqz3_8L0    伪装型图片木马，无论再怎么伪装，都只是象图片而已，并不是真正的图片。但是利用系统的漏洞，攻击者可以制作出真正的夹带木马的图片。文件确实是一张图片，但当用户打开图片时，就中招了。

    微软曾经发布了一个图片漏洞安全公告（MS04-028），这个漏洞是个高危漏洞，利用这个漏洞制作出来的图片木马不用打开，只要Windows的图片预览功能开着，隐藏在图片中的木马就会自动运行，危害十分巨大。利用此漏洞的攻击者，不需要将木马捆绑在图片中，只需把木马的下载地址嵌入图片中，当预览图片时，就会在后台联网下载并运行木马。如果用最新升级的杀毒软件查毒，可以报告有木马，但是这些图片和无毒的图片放在一起，普通的用户一般很难发现。IXPUB技术博客!cfW9KpIW

    还有一类图片木马，是具有溢出攻击特性的，在利用图片漏洞产生系统错误时，后台悄悄打开系统的某个端口。黑客可以利用打开的端口，远程连接该端口，进而控制用户电脑。这类木马一般都是利用微软的MS-0601号“WMF文件远程溢出漏洞”制作的，远程溢出与图片相结合制作出的新型WMF图片木马，危害极为巨大。当用户访问包含这类图片的网页时，将打开一个空白页面，但是如果机器存在MS0601漏洞，就会自动下载运行木马。IXPUB技术博客*Nc#MTML4Yk:T

*U3c(TnY:[{%u_03、Flash动画木马

    在网站上观看Flash动画，接收到“好友”发来的一张Flash贺卡，甚至于一个QQ魔法表情，一不留神就中了木马。Flash动画木马可以说无处不在，攻击力和覆盖面极其广泛。IXPUB技术博客 seR`C3Ay

    Flash动画攻击原理，是在网页中显示或本地直接播放Flash动画木马时，让Flash自动打开一个网址，而该网页就是攻击者预先制作好一个木马网页。也就是说，Flash动画木马，其实就是利用Flash跳转特性，进行网页木马攻击的。要让Flash自动跳转打开网页，只要使用Macromedia Flash MX之类的编辑工具，在Flash中添加一段跳转代码，让Flash跳转到木马网页就可以了。

%gL vdn Lxe0    用浏览器打开Flash动画木马，或者是包含有Flash动画木马的网页时，可以看到随着Flash动画播放时，自动弹出一个浏览器窗口，里面将会显示一个无关的网页，这个网页很可能就是木马网页。IXPUB技术博客*a lI2R!v

二、揪出伪装型图片木马病毒

    伪装成“图片”的木马，无论其外表多么具有迷惑性，但木马的本质是改变不了的。木马必然是个可执行的程序文件，其后缀名是“exe”，这是不可更改的。因此，要避免伪装成“图片”的木马程序的迷惑，可以从文件名上入手。

    在资源管理器窗口中，点击菜单“工具”→“文件夹选项”，打开文件夹选项对话框。切换到“查看”选项卡，在中间的列表中，去掉对“隐藏受保护的操作系统文件夹”项和“隐藏已知文件类型的扩展名”项的选择，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”。IXPUB技术博客}vy/]CTB4^

    当接收到某张图片时，一定要注意观察它的后缀名，是否为.exe，如果是的话，那么说明这种图片是伪装的木马。

n!Gr'M{vl5cH0三、恢复隐藏“文件夹选项”IXPUB技术博客[l)JIS}7V

y?yh|a
~^0    有的木马非常狡猾，木马对注册表进行了修改使得资源管理器的“文件夹选项”被隐藏，让用户无法查看显示文件后缀名。此时要识别木马，必须恢复“文件夹选项”。IXPUB技术博客-SUl \] J{&j

1.组策略法IXPUB技术博客iPlJ)|*z$f

{w'f\(]9p{|0    点击“开始”→“运行”，在出现的运行对话框中输入gpedit.msc，打开组策略编辑器，依次展开“本地计算机策略→用户配置→管理模板→Windows组件→Windows资源管理器”，再在窗口右侧找到“从‘工具’菜单删除‘文件夹选项’菜单”选项。

    双击此项，在弹出的“从‘工具’菜单删除‘文件夹选项’菜单属性”标签页，选中“未配置”或者“已禁用”，按“应用”、“确定”按钮，再关闭“组策略”窗口，即可恢复“文件选项”

Y1ps+Rx-M:K_
k@02.注册表法IXPUB技术博客`YE-i2R4Z;B

*f5I~_{QmB}EV0    点击“开始→运行”，输入regedit，进入注册表编辑器。 依次展开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”分支，在右侧窗口中找到“NoFileMenu”键，将键值修改为“0”，或者删除该键。最后重新启动Windows XP即可。IXPUB技术博客$d9^Rc8@@-]!_y/?

'n#W4p+pi8v0
H"T:Ms/~.Q8m03.恢复工具栏按钮法IXPUB技术博客0Q*]T'j8|-^ p_

:il%ba#zW|Gj0    右击工具栏空白处，在菜单中选择“自定义”命令，打开工具栏按钮添加对话框。在“可用工具栏按钮”中找到“文件夹选项”，选中“添加”，再按“确定”即可。IXPUB技术博客X9u!^)xd

-B2O~L*@0    重新添加文件夹选项后，关闭对话框，打开资源管理器，可看见上面多出了一个“文件夹选项”按钮，点击该按钮，即可进行文件后缀名设置了。IXPUB技术博客siW)tm1|

4.专用工具，一键修复IXPUB技术博客 DS7LvFy,z%NW

ukY [y1UK0    不会手工修复的用户，可以使用专用的修复工具，只需要点击一键恢复按钮，即可重现文件夹选项。运行Fix_Hidden，在弹出的对话框中，点击“解除恶意锁定”按钮，即可开始进行修复。修复完毕后，要求重启系统，点击“立即重启”，即可对文件夹选项进行设置了。

四、图片木马病毒漏洞补丁IXPUB技术博客nL
U}usC

U`7H ~JYc[0    图片木马的攻击可以说是无处不在，不过从上面的介绍，可以看出图片木马除了伪装外，基本上是靠系统漏洞进行攻击的。因此，防范图片木马攻击，可以从为系统打补丁两方面入手。各种溢出类型图片木马，实际上是利用了系统漏洞进行攻击的，因此用户要想防范图片木马，以及以后出现的各种新木马，最好的办法就是及时进行系统更新。IXPUB技术博客)?"ja3|
hm9^d+L

    为了节约系统资源，许多用户往往会将自动更新关掉，但是长期下来许多系统漏洞都没有打补丁。要补上这些漏洞，需要装的补丁太多了，哪些是重要的，哪些是不必要安装的，哪些会造成系统冲突的，很难分辨。我们可以利用一些特殊的安全工具，比如360安全卫生之类的，给系统打补丁就不是什么难事了。IXPUB技术博客n.@ b1e,I-Jk

    运行360安全卫生，在界面中间会显示系统中是否有未打的重要安全补丁程序。切换到“修复系统漏洞”，点击“查看并修复系统漏洞”按钮，软件会自动扫描系统中的漏洞，然后就可以点击更新系统补丁。选择系统中未安装的重要安全漏洞，或简介“全选”，再点击“下载并修复”按钮，就会自动下载并安装所有的补丁程序了。IXPUB技术博客 Y%VE j:dr

五、Flash木马病毒的防范

9a3l1~ am0    其实不管Flash木马有多么的巧妙，最终都要跳转到木马网页中去的，也就是说用户最终要防范的还是网页木马。了解了思路，对于Flash动画木马就简单了。IXPUB技术博客C?CW
_,iS%y%}

    首先，要开启Windows XP SP2的窗口拦截功能，或安装其他防弹出窗口的插件。如果那种漏网之鱼，莫名其妙弹出的窗口要及时关闭，另外，一定要在上网浏览时开启杀毒软的网页监控功能，只要网页木马中的木马下载到本地硬盘，就会被杀毒软件查杀。

7Vp/@_;^:z0    打开IE浏览器，点击菜单“工具”→“Internet选项”，打开IE选项设置对话框。切换到“隐私”选项页，在页面中勾选“阻止弹出窗口项”（图片），点击“设置”按钮，打开设置对话框，在对话框中可以设置筛选级别，将其设置为是“高：阻止所有弹出窗口”。